新型 Specula 工具曝光：將微軟 Outlook 變成 C2 信標，在 Win10 / Win11 中遠程執(zhí)行代碼

IT之家 7 月 30 日消息，網(wǎng)絡(luò)安全公司 TrustedSec 發(fā)布新的 Specula 工具，可以將 Outlook 變成 C2（命令與控制）信標，在 Windows 生態(tài)中遠程執(zhí)行代碼。

IT之家注：C2 信標（beacon）是指 C2 代理回調(diào)在 C2 服務(wù)器上運行的偵聽器的過程，它是一種惡意軟件與 C2 (命令與控制) 服務(wù)器之間的定期通信方式（通信機制）。

當惡意軟件感染目標系統(tǒng)后，它需要與控制服務(wù)器（C2 服務(wù)器）建立連接，以獲取控制命令和更新；但是 C2 服務(wù)器不會持續(xù)發(fā)出命令，所以惡意軟件就需要采取一定機制定期與 C2 服務(wù)器通信，并確認連接狀態(tài)和獲取新命令，這個過程可以通過 Beacon (信標) 來進行。

本次曝光的 C2 框架工作原理是利用 2017 年 10 月修補的 Outlook 安全功能繞過漏洞 CVE-2017-11774，使用 WebView 創(chuàng)建自定義 Outlook 主頁。

微軟盡管已經(jīng)修復(fù)了該漏洞，并移除了顯示 Outlook 主頁的用戶界面，但攻擊者仍可利用 Windows 注冊表值創(chuàng)建惡意主頁，即使在安裝了最新 Office 365 版本的系統(tǒng)上也能實現(xiàn)破解。

正如 Trusted 解釋的那樣，Specula 完全在 Outlook 的情境中運行，它的工作原理是通過注冊表鍵值設(shè)置自定義 Outlook 主頁，然后調(diào)用交互式 Python 網(wǎng)絡(luò)服務(wù)器。

非特權(quán)威脅行為者可以訪問以下路徑：

HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\WebView

在該路徑下的 Outlook WebView 注冊表項中設(shè)置一個 URL 目標，將其指向一個受其控制的外部網(wǎng)站。

由攻擊者控制的 Outlook 主頁可提供自定義 VBscript 文件，攻擊者可利用這些文件在受攻擊的 Windows 系統(tǒng)上執(zhí)行任意命令。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。